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PROCEDE DE CONTRE-MESURE DANS UN COMPOSANT 
gLECTRONIQUE METTANT EN OEUVRE UN ALGORITHMS DE 
CRYPTOGRAPHIE A CLE SECRETE 

La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithrne de cryptographie a cle secrete, 
lis sont utilises dans des applications oH l'acces a 
des services ou a des donnees est severement controle. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 
cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de tSlepeage, par exemple 
pour la television, la distribution d' essence ou encore 
le passage de peages d'autoroutes. 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithrne de cryptographie a cl6 secrete, dont le 
plus connu est 1' algorithrne DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 
algorithmes a cle secrete existent, comme 1' algorithrne 
RC5 ou encore 1' algorithrne COMP128. Cette liste n'est 
bien sQr pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 
partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire...) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d'authentif ier le 
composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vuln§rables a des attaques consistant en une 
analyse dif f erentielle de consommation en courant et 
qui permettent a des tiers mal intentionnes de trouver 
la cle secrete. Ces attaques sont appelees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microprocesseur 
executant des instructions varie selon la donnee 
manipulee • 

Notainment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux profils de 
courant diffSrents selon que ce bit vaut "1" ou H 0«, 

15 Typiquement, si 1 ' instruction manipule un "0" , on a a 
cet instant d' execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un "1", 
on a une deux i erne amplitude du courant consomme, 
differente de la premiere. 

20 Les caracteristiques des algorithmes de 

cryptographie sont connues : calculs effectues, 
paramStres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 

25 applique en entree et du message chif fre fourni en 
retour . 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 

3 0 la cle secrete contenue dans la carte. D'autres donnees 
calculees dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
(generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 

35 dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 



message d' entree ou de sortie, et d'un nombre liroite de 
bits particuliers de la cle. 

Ainsi f a chaque bit d'une donnee particuliere, 
correspond une sous-cle formee par un groupe 
particulier de bits de la cle. 

Les bits de ces donnees particulieres qui peuvent 
etre predites sont appeles dans la suite, bits cibles. 

L'idee de base de l'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibility de calculer un bit cible 
par les instructions de l'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante. 

Le principe de l'attaque DPA est done de tester une 
hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de l'attaquant, 
une fonction bool£enne de selection, fonction de 
1' hypothese de sous-clfe, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concern^e, 
on est en effet capable de predire la valeur . "0" ou "1" 
que va prendre ce bit cible pour un message d' entree ou 
de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 
regroupe les courbes qui ont vu la manipulation du bit 
cible a lf 0 M et un deuxieme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "1" selon 
1' hypothese de sous-cle. En faisant la moyehne de 
consommation en courant dans chaque paquet, on obtient 
une courbe de consommation moyenne M0(t) pour le 
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premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 

Si l'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "1" . La courbe moyenne de consommation 
M0(t) du premier paquet aura alors une consommation 
moyenne partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "0" (prof il Q ) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 
chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur «0". Ce qui peut 
s'ecrire : 

M0(t)=[(profil 0 +profil 1 )/2] t ^ tci + [profil 0 ] tci soit 
MOttjKVmtlt^tci + [profil 0 ] tci 

ou tci represente les instants critiques, auxquels une 
instruction critique a ete executee. 

De meme, la courbe moyenne de consommation Ml(t) du 
deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "1" (prof il x ) . On peut ecrire : 
Ml(t)=[(profil 0 +profil 1 )/2] tofttci + [profilj^ soit 
Ml(t)=[Vm t ] t ^ tci + [profiljtci 

On a vu que les deux profils profil Q et profi^ ne 
sont pas egaux. La difference des courbes M0(t) et 
Ml(t) donne alors un signal DPA(t) dont 1' amplitude est 
egale a prof il Q -prof il x aux instants critiques tci 
d' execution des instructions critiques manipulant ce 
bit, c'est a dire, dans l'exemple represente sur la 
figure 1, aux endroits tcO a tc6 et dont 1' amplitude 



est a peu pres egale a zero en dehors des instants 
critiques. 

Si 1' hypothese de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statistiquement, il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la manipulation du bit cible a "1". La 
courbe moyenne resultante M0(t) se situe alors autour 
d'une valeur moyenne donnee par (prof il Q +prof /2=Vm, 
car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 
"0 M que de valoir "1" . 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof il Q +prof il 1 ) /2=Vm. 

Le signal DPA(t) fourni par la difference M0(t)- 
Mi(t) est dans ce cas sensiblement egal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 
fausse est represents sur la figure 2. 

Ainsi 1'attaque DPA exploite la difference du 
profil de consommation en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnee. En effectuant une 
analyse dif f Srentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d' information DPA(t) . 

Le deroulement d'une attaque DPA consiste alors 
globalement : 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire executer l'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
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de consommation en courant a chaque fois (mesuree sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 
d- a predire, pour chacun des messages aleatoires, 
la valeur prise par . vn des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
selection booleenne (c'est a dire selon la valeur "0" 
ou "1" predite pour ce bit cible pour chaque courbe 
sous 1' hypothese de sous-cle); 

f- a calculer dans chaque paquet la courbe 
resultante de consommation rooyenne en courant; 
15 g _ a effectuer la difference de ces courbes 

moyennes, pour obtenir le signal DPA(t). 

Si 1' hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
20 courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a "0" dans la carte 
et les courbes du deuxieme paquet correspondent 
reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 

2 5 "1" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 
30 On notera que l'attaquant n'a pas besoin de 

connaitre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 
periode d ' acquisition . 

Si 1 'hypothese de sous-cle n'est pas juste, le tri 
ne correspond pas a la realite et on a alors dans 
chaque paquet autant de courbes correspondant en 
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realite a un bit cible a "0" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2). II faut retourner a l'etape c- et faire une 
5 nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s'avere juste, on peut passer a 
1' evaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES, on utilise une cle de 64 bits, dont 
10 seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

La presente invention a pour but de mettre en 
oeuvre dans un composant electronique, un procede de 
15 contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas oil 1' hypothese de sous-cle est juste. 

De cette facon, rien ne permet de distinguer le cas 
de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
20 composant electronique est pare contre les attaques 
DPA. 

Mais dans 1' invention, on s'est rendu compte qu'il 
ne suffisait pas de faire en sorte que le signal DPA (t) 
soit nul relativement a un bit cible donne. 

25 En effet, si on considere la valeur prise par 

plusieurs bits cibles d'une meme donnee manipulee par 
les instructions critiques, on va devoir trier les 
courbes non plus en deux paquets , mais en plusieurs 
paquets. On n'a plus une fonction de selection binaire. 

3 0 On peut montrer qu'en regroupant ensuite ces paquets 
d'une maniere ou d'une autre, on peut obtenir un signal 
DPA(t) non nul dans le cas d'une hypothese de sous-cle 
juste, alors qu'il aurait ete nul si l'on aviat trie 
selon une fonction de selection binaire sur un seul bit 

35 cible. 
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Prenons par exemple deux bits cibles d'une meiae 
donnee. Ces deux bits cibles peuvent prendre les 2 2 
valeurs suivantes : "00", "01", "10" et "11". 

En appliquant la fonction de selection aux N=1000 
courbes de consommation en courant mesurees, on obtient 
quatre paquets de courbes. Si le tri est juste, un 
premier paquet de 2 50 courbes environ correspond k la 
valeur "00", un deuxieme paquet de 250 courbes environ 
correspond a la valeur "01", un troisieme paquet de 
2 50 courbes environ correspond a la valeur "10" et un 
quatrieme paquet de 2 50 courbes environ correspond a la 
valeur "11". 

Si on regroupe les premier et quatrieme paquets 
dans un premier groupe et les deuxieme et troisieme 
paquets dans un deuxieme groupe, on obtient deux 
groupes qui ne sont pas equivalents. 

Dans le premier groupe, les deux bits ont autant de 
chances de valoir "00" que de valoir "11". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
Ml (t^)=[consommation("00") + consommation ("ll")]/2 

C X 

Dans le deuxieme groupe, les deux bits ont autant 
de chances de valoir "01" que de valoir "10". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
M2 (t ci )=[consommation("01") + consommation ("l0")]/2 

Si on fait la difference entre ces. deux moyennes, 
on obtient un signal DPA(t) non nul. En d'autres 
termes, les deux groupes dont on compare les 
consommations moyennes n'ont pas un contenu equivalent. 

Dans 1' invention, on a done cherche a empecher 
l'obtention d'un quelconque signal significatif au sens 
de l'attaque DPA. Quel que soit le nombre de bits 
cibles pris, quelle que soit la combinaison de paquets 
effectuee pour faire la comparaison des consommations 
moyennes, le signal DPA (t) sera tou jours nul. II faut 



done obtenir des paquets equivalents, quel que soit le 
nombre de bits cibles consideres. 

Une solution a ces differents problemes techniques 
a ete trouvee dans 1 'utilisation d'une valeur aleatoire 
dans une operation de OU EXCLUSIF avec l'une et/ou 
1' autre des donnees d' entree et de sortie de moyens 
utilises dans 1' a Igor i thine. 

Avec une utilisation selon 1' invention d'une telle 
valeur aleatoire, les donnees manipulees par les 
instructions critiques deviennent impredictibles tout 
en ayant un resultat juste en sortie de 1'algorithme . 

Telle que caracterisee, 1' invention concerne done 
un precede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete, la mise en oeuvre de 
1' algorithme comprenant 1 'utilisation de premiers 
moyens pour fournir une donnee de sortie a partir d'une 
donnee d' entree, la donnee de sortie et/ou des donnees 
derivees etant manipulees par des instructions 
critiques. Selon 1' invention, le procedS de contre- 
mesure prevoit 1 'utilisation d'autres moyens, en sorte 
que la donnee de sortie et les donnees derivees soient 
impredictibles, ces autres moyens etant obtenus des 
dits premier moyens par une operation de OU EXCLUSIF 
avec une valeur aleatoire ou une valeur al&atoire 
derivee sur l'une et/ou sur 1' autre des donnees 
d' entree et de sortie des dits premiers moyens. 

D'autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que l'on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
une attaque DPA; 
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- les figures 3 et 4 sont des organ igrammes 
detailles des premiers et derniers tours de 
l'algorithme DES; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans l'algorithme DES; 

- la figure 6 montre un exemple de table de 
constantes elementaire a une entree et une sortie 
utilisee dans 1' operation SBOX; 

- la figure 7 represente un premier exemple 
d' organigramme d'execution du DES avec un procede de 
contre-mesure selon 1' invention; 

- la figure 8 est un organigramme des premiers 
tours du DES correspondant ; 

- les figures 9 et 10 representent respectivement 
un organigramme d'execution du DES et un organigramme 
detaille des premiers tours, dans un deuxieme mode 
d' application du procede de contre mesure selon 
1' invention; 

- les figures 11 et 12 correspondent a un troisieme 
mode d' application du procede de contre mesure selon 
1' invention; 

- la figure 13 represente un organigramme 
d'execution du DES dans une variante du troisieme mode 

d' application; 

- la figure 14 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le procede de contre-mesure selon 
1' invention est mis en oeuvre. 

L'algorithme cryptographique a cle secrete DES 
(dans la suite on parlera plus simplement du DES ou de 
l'algorithme DES) comporte 16 tours de calcul, notes Tl 
a T16, comme represente sur les figures 3 et 4 . 

Le DES debute par une permutation initiale IP sur 
le message d'entree M (figure 3). Le message d'entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que l'on coupe en deux pour former 



les parametres d' entree LO et RO du premier tour (Tl) . 
LO est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e . RO est un mot h de 3 2 bits 
contenant les 3 2 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits* 

Le premier tour comprend une operation EXP PERM sur 
le parametre RO, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits, 

Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits, Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6. 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 3 2 bits. 

Ce mot c est combine au parametre d'entr^ LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
3 2 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1' entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fa<?on 
similaire, excepte en ce qui concerne 1' operation de 



decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti recoit ainsi en entree les 
parametres Li-l, Ri-1 et r et fournit en sortie les 
parametres Li et Ri et r pour le tour suivant Ti+1. 

En fin d'algorithme DES (figure 4), le message 
chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 

- application de la permutation IP" 1 inverse de 
celle de debut de DES, pour obtenir le mot f de 64 
bits formant le message chiffre C. 

L' operation SBOX est detaillee sur les figures 5 et 
6. Elle comprend une table de constantes TC 0 pour 
fournir une donnee de sortie a en fonction d'une donnee 
d' entree b. 

En pratique, cette table de constantes TC Q se 
presente sous la forme de huit tables de constantes 
elementaires TC Q 1 a TC Q 8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TC Q 1 
representee sur la figure 6 recoit comme donnee 
d' entree, les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
elementaires TC Q 1 a TC Q 8 sont memorisees en memoire 
programme du composant electronique . 

Dans 1 ' operation SBOX du premier tour Tl, un bit 
particulier de la donnee a de sortie de la table de 
constante TC Q depend de seulement 6 bits de la donnee b 
appliquee en entree, c'est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) . 



Dans 1 'operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
constante TC Q peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chif fre (C) . 

Or si on reprend le principe de l'attaque DPA, si 
on choisit un ou des bits de la donnee de sortie a 
comme bits cibles, il suffit de faire une hypothese sur 
6 bits de la cle K, pour predire la valeur du ou des 
bits cibles pour un message d' entree (M) ou de sortie 
(C) donne. En d'autres termes, pour le DES, il suffit 
de faire une hypothese sur une sous-cle de 6 bits* 

Dans une attaque DPA sur un tel algorithme pour un 
ensemble de bits cibles donne issu d'une table de 
constantes elementaire donnee/ on a done a discriminer 
une hypothese de sous-cle juste parmi 64 possibles. 

Ainsi, a partir des bits de sortie des huit tables 
de constantes elementaires TC Q 1 a TC 0 8, on peut 
decouvrir jusqu'a 8x6=4 8 bits de la cl6 secrete, en 
f aisant des attaques DPA sur des bits cibles 
correspondants . 

Dans le DES , on trouve done des instructions 
critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. 

Au debut de 1' algorithme DES, les donnees qui 
peuvent etre predites a partir d'un message d' entree M 
et d'une hypothese de sous-cle, sont les donnees a et g 
calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considere. 
La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
parametre d' entree LO . 

En fait, la donnee c du premier tour, est une 
donnee derivee de la donnee a du premier tour. La 
donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 
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La donnee 1 du deuxiime tour est une donnee derivee 
de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
g etant en outre dupliques. 

Connaissant a et g, on peut aussi connaitre ces 

donnees derivees. 

Les instructions critiques du debut de l'algorithme 
sont les instructions critiques qui manipulent soit la 
donnee que l'on peut predire, comme la donnee a ou la 
donnee g du premier tour, soit une donnee derivee. 

Les instructions critiques manipulant la donnee a 
du premier tour Tl ou la donnee derivee c sont ainsi 
les instructions de fin de l'operation SBOX, de 
1' operation P PERM et de debut de l'operation XOR du 

premier tour Tl. 

Les instructions critiques manipulant la donnee g 
ou des donnees derivees sont toutes les instructions de 
fin d' operation XOR de fin du premier tour Tl jusqu'aux 
instructions de debut d' operation SBOX du deuxieme tour 
T2, et les instructions de debut de l'operation XOR en 
fin du troisieme tour T3 ( L2 = h(T2) = g(Tl) ). 

En fin d'algorithme DES, les donnees qui peuvent 
etre predites a partir d'un message chiffre C et d'une 
hypothese de sous-cle, sont la donnee a du seizieme 
tour T16 et la donnee L15 egale au mot h du quatorzieme 
tour T14. 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d' operation SBOX, 
de l'operation de permutation P PERM et de debut 

d' operation XOR. 

Pour la donnee L15, les instructions critiques 
manipulant cette donnee ou des donnees derivees sont 
toutes les instructions depuis les instructions de fin 
d' operation XOR en fin du quatorzieme tour T14, 
jusqu'aux instructions de debut d' operation SBOX du 
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quinzieme tour T15, plus les instructions de debut 
d'operation XOR en fin de seizieme tour T16. 

Le procede de contre-mesure selon 1' invention 
applique a cet algorithme DES consiste a rendre 
5 impredictible chacune des donnees manipulees par les 
instructions critiques. Ainsi, quel que soit le ou les 
bits cibles utilises, le signal DPA(t) sera toujours 
nul . 

En ce qui concerne 1' application du procede de 
10 contre-mesure selon 1 ' invention a 1 ' algorithme DES , il 
faut done appliquer la contre-mesure aux instructions 
critiques de debut de DES et aux instructions critiques 
de fin de DES, pour etre totalement protege. 

Dans le DES, toutes les donnees manipulees par des 
15 instructions critiques sont une donnee de sortie ou des 
donnees deriv6es d'une donnee de sortie d'une operation 
SBOX. 

En effet, en debut de DES, les donnees qui peuvent 
etre predites sont les donnees a et g du premier tour 

2 0 Tl. La donnee a est la donnee de sortie de 1' operation 

SBOX du premier tour. La donnee g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR LO. g est 
done une donnee derivee de la donnee de sortie a de 
1' operation SBOX du premier tour. Ainsi, toutes les 
25 donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de 1' operation SBOX du premier 
tour. 

En ce qui concerne la fin de DES, les donnees qui 

3 0 peuvent etre predites sont la donnee a du seizieme tour 

T16 et la donnee g du quatorzieme tour T14, g etant 
egale a L15. 

La donnee a est la donnee de sortie de 1' operation 
SBOX du seizieme tour T16. 
35 Quant a la donnee L15, elle se calcule, dans 

1' execution normale de 1' algorithme DES, a partir de la 
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donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM (a) XOR L14 . 

Si on rend impredictibles les donnees de sortie a 
de ces operations SBOX particulieres , on rend aussi 
5 impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipulees par 
les instructions critiques de l'algorithme DES. Si on 
considere que ces operations SBOX constituent des 
premiers rooyens pour fournir une donnee de sortie S=a a 

10 partir d'une donnee d' entree E=b, le procede de contre- 
mesure applique a l'algorithme DES consiste a utiliser 
d'autres moyens pour rendre impredictibles la donnee de 
sortie, en sorte que cette donnee de sortie et/ou des 
donnees derivees manipulees par les instructions 

15 critiques soient toutes impredictibles. 

Ces autres moyens peuvent comprendre differents 
moyens. lis sont calcules a partir des premiers moyens 
en appliquant un OU exclusif avec une valeur aleatoire 
ou une valeur aleatoire derivee sur l'une et/ou sur 

20 1' autre des donnees d' entree et de sortie des premiers 
moyens . 

L'utilisation de cette valeur aleatoire est telle 
que le resultat en sortie, e'est a dire, le message 
chiffre reste juste. 

25 La figure 7 represente un premier mode de 

realisation de 1' invention. Dans ce mode de 
realisation, on repartit les seize tours de 
l'algorithme DES en quatre groupes Gl a G4 de quatre 
tours successifs. Le groupe Gl comprend ainsi les tours 

30 Tl a T4, le groupe G2 , les tours T5 a T8, le groupe G3 , 
les tours T9 a T12 et le groupe G4 , les tours T13 a 
T16. 

Dans une execution classique de l'algorithme DES, 
on a vu que chaque tour comprend 1 'utilisation de 
35 premiers moyens TC Q dans une operation SBOX. 
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Dans le premier mode d' application du procede de 
contre-mesure , on calcule d'autres moyens en faisant un 
OU EXCLUSIF avec une valeur aleatoire u et/ou avec une 
valeur derivee e(p(u)) sur l'une et/ou l'autre des 
donnees d' entree et de sortie des premiers moyens TC Q . 
Puis on applique une sequence SEQA d' execution 
identique sur chaque groupe, qui consiste a utiliser 
ces autres moyens calculus. 

Selon 1' invention, on utilise une valeur aleatoire 
u qui est une donnee de 32 bits. On peut par exemple 
tirer une valeur aleatoire de 32 bits, ou bien tireir 
une valeur aleatoire de 4 bits et les recopier 8 fois 
pour obtenir la valeur aleatoire u sur 32 bits. 

On calcule alors la variable derivee egale a 
e(P(u)), oH p(u) correspond au resultat de 1' operation 
P PERM appliquee sur la valeur u et ou e(p(u)) est le 
resultat de 1' operation EXP PERM appliquee a la valeur 
p(u). 

On peut alors calculer les autres moyens utilises 
dans 1 ' invention . 

Dans 1' exemple represents en reference a la figure 
7 , ces autres moyens comprennent des deuxiemes moyens 
TC 2 et des troisiemes moyens TC^. 

Les deuxiemes moyens TC 2 sont utilises dans le 
deuxieme tour et 1 ' avant-dernier . tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6, T7 de G2 , 
T10, Til de G3 et T14 et T15 de G4 . 

Les deuxiemes moyens TC 2 sont utilises dans le 
deuxieme tour et 1 ' avant-dernier tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6, T7 de G2 , 
T10, Til de G3 et T14 et T15 de G4 . 

Les deuxiemes moyens TC 2 sont calcules en 
appliquant un OU EXCLUSIF avec la variable aleatoire 
derivee e(p(u)) sur la donnee d'entree E et en 
appliquant un OU EXCLUSIF avec la valeur aleatoire u 
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sur la donnee de sortie S des premiers moyens TC Q , ce 
qui peut s'icrire ; TC 2 =(E$e(p(u) ) , S^i) . 

Les troisiemes moyens TC X sont utilises dans le 
premier tour et le dernier tour de chaque groupe. C'est 
a dire dans Tl, T4 de Gl, T5, T8 de G2 , T9, T12 de G3 
et T13, T16 de G4. 

Les troisiemes moyens TC^ sont calcules en 
appliquant un OU EXCLUSIF avec la variable aleatoire u 
sur la donnee de sortie S des premiers moyens TC Q , ce 
qui peut s'ecrire : TC 1 =(E, s€fri) . 

Le programme de calcul consiste alors au debut de 
1 'execution de 1 ' algorithme, a tirer une valeur 
aleatoire u, dans l'exemple sur 4 bits, a calculer la 
variable aleatoire derivee e(p(u)), puis a calculer les 
differents moyens utilises dans la sequence d' execution 
SEQA. Dans l'exemple, il faut calculer les deuxiemes et 
troisiemes moyens TC 2 et TC-j^. 

On obtient, a la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 
les parametres de sortie L4 et R4 du premier groupe Gl, 
L8 et R8 du deuxieme groupe G2 , L12 et R12 du troisieme 
groupe G3 , L16 et R16 du quatrieme groupe G4 sont 
justes quelle que soit la variable aleatoire tiree. 

Quand on a effectue tous les tours, on obtient les 
parametres justes LI 6 et R16 qui vont permettre de 
calculer le message chiffre C juste. 

Par contre, a 1' inter ieur des groupes, certains 
resultats intermedia ires n'ont pas les memes valeurs 
selon la sequence utilisee, mais des valeurs 
correspondant a 1' operation OU EXCLUSIF avec la valeur 
aleatoire u ou avec la valeur aleatoire derivee 
e(p(u)), comme on va le montrer par reference aux 

figures 3 et 8. 

La figure 8 montre 1' organigramme detaille des 
quatre tours Tl, T2 , T3 et T4 du premier groupe Gl, 
dans la sequence SEQA d'execution selon 1' invention. 
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Dans cette sequence, le tour Tl utilise les 
troisiemes moyens TC^. En sortie de 1' operation SBOX, 
on obtient done la donnee modifiee aleatoirement a(£u 
(Figure 8) , au lieu de la donnee a selon la sequence 
5 norma le du DES, e'est a dire sans contre-mesure (Figure 
3) . 

Avec la sequence SEQA d' execution selon 
1' invention, 1' operation P PERM du premier tour Tl qui 
est une simple permutation va done egalement fournir en 
10 sortie une donnee modifiee aleatoirement egale a 
c^?(u). 

La donnee qui est obtenue par 1' operation XOR entre 
une donnee c9^>(u) et la donnee L0, va aussi fournir en 
sortie une donnee modifiee aleatoirement g9fc>(u) . Cette 
15 donnee appliquee a 1' operation EXP PERM va fournir en 
sortie la donnee modifiee aleatoirement notee 
10e(p(u)) . 

Ainsi, avec les troisiemes moyens TC 1 du tour Tl on 
obtient toutes les donnees modifiees aleatoirement 
20 suivantes : 

- dans le tour Tl : affiu, c(%>(u) , g&>(u) ; 

-dans le tour T2 : Rl%>(u), h%>(u), l©s(p(u), 
b0e(p(u) ; 

- dans le tour T3 : L2%)(u) . 

25 On arrive alors aux deuxiemes moyens TC 2 utilises 

dans le tour T2. D'apres leur definition : E©a(p(u), 
S®a, en appliquant en entree la donnee modifiee 
aleatoirement b©e(p(u), on obtient en sortie la donnee 
modifiee aleatoirement a6u. En conduisant ce 

3 0 raisonnement jusqu'a la fin du tour T4 , et en 
remarquant que p (u) (u) =0 , on obtient en sortie du 
tour T4 , les donnees L4 , R4 non modifiees. 

En outre, on constate que pour toutes les 
instructions critiques de debut de DES, les 

35 instructions critiques vont manipuler, des donnees 
modifiees de maniere aleatoire. 



Avec un tel procede de contre-mesure, on doit 
prevoir en debut de DES le tirage de la valeur 
aleatoire u et le calcul des moyens utilises dans la 
sequence d' execution SEQA- Ces moyens calcules a chaque 
execution du DES, sont memorises, le temps de 
1' execution, en memoire de travail, les premiers moyens 
TCq qui servent au calcul etant eux memorises en 
memoire programme. 

En revenant a la figure 7, on pourra noter, que 
l'on n'a pas besoin de contre-mesure dans les groupes 
du milieu G2 et G3 , puisqu'ils ne contiennent pas 
d' instructions critiques au sens attaque DPA. On 
pourrait done n'appliquer la sequence d' execution SEQA 
du procede de contre-mesure qu'au premier et au dernier 
groupe Gl et G4 . II suffirait d'utiliser ensuite les 
premiers moyens (TCq) dans les groupes G2 et G3 . 

Mais le fait de d'appliquer le procede de contre- 
mesure a tous les groupes donne une coherence a 
1' ensemble. 

Ainsi, on applique la sequence SEQA a chacun des 

groupes Gl a G4 . 

Un deuxieme mode de realisation du procede de 
contre-mesure est representee sur la figure 9. Ce 
deuxieme mode de realisation est en fait une variante 
du premier. 

L'interet de cette variante est de n'utiliser comme 
autres moyens dans la sequence SEQA, que les deuxiemes 
moyens TC 2 . En effet, on a vu que les differents moyens 
TC 0 , TC-j^, TC 2 correspondent en pratique a des tables de 
constantes comprenant chacune huit tables de constantes 
elementaires, qu'il faut recalculer en ce qui concerne 
les moyens TC 1 et TC 2 a chaque nouvelle execution du 
DES, et garder en memoire de travail. 

Cette variante consiste done a utiliser uniquement 
les deuxiemes moyens TC 2 dans la sequence SEQA. Pour 
cela, on prevoit dans le programme de calcul des 
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premiers et derniers tours de chaque groupe, une 
operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee e(p(u)), pour obtenir en 
entree des deuxiemes moyens la donnee b9te(p(u)). On 
5 note cette operation CP(e(p(u))) sur les figures. Si on 
se reporte a la figure 10 representant 1' or ganigr amine 
detaille de la sequence SEQA d' execution des quatre 
tours Tl a T4 du premier groupe Gl, il s'agit done 
d'appliquer en entree de 1' operation SBOX des tours Tl 

10 et T4 une variable bSte(p(u)). L' operation 

supplementaire CP plus les deuxiemes moyens TC 2 
equivalent aux troisiemes moyens TC X utilises dans le 
premier mode de realisation de 1' invention. 

On y gagne en temps de calcul, car 1' operation CP 

15 n'est executee que deux fois dans un groupe, soit 8 
fois pour une sequence SEQA complete sur les quatre 
groupes, alors que le calcul d'une table n^cessite de 
faire cette operation b©e(p(u)) pour toutes les donn§es 
d' entree de cette table. 

2 0 On notera que 1' operation OU EXCLUSIF 

supplementaire CP avec la variable e(p(u)) peut §tre 
placee en divers endroits des premiers et derniers 
tours, soit entre 1' operation EXP PERM et 1' operation 
XOR ou entre 1 ' operation XOR et 1 ' operation SBOX. 

25 On peut aussi remarquer que 1'on peut utiliser une 

operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee p(u), en pla(?ant cette 
operation supplementaire CP(p(u) avant 1 ' operation EXP 
PERM. On obtient en sortie l©e(p(u)), et done on aura 

30 ensuite b€te(p(u)). 

Dans tous ces cas de figures, on obtient la donnee 
b©a(p(u)) en entree de 1' operation SBOX. 

La figure 11 represente un troisieme exemple de 
realisation d'un procede de contre-mesure selon 

35 1 9 invention. 
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Dans ce mode de realisation, on forme un premier 
groupe Gl avec les trois premiers tours Tl, T2, T3 et 
un autre groupe G4 avec les trois derniers tours T14 , 
T15, T16. On applique sur chaque groupe la sequence 
5 d' execution SEQA avec les autres moyens pour certains 
tours au mo ins. 

Pour les autres tours non corapris dans les groupes, 
c'est a dire pour les tours T4 a T13 , on applique les 
premiers moyens TC 0 . 
10 En sortie de chaque groupe Gl, G4 , on obtient le 

bon resultat en sortie L3 , R3 et L16, R16, quelle que 
soit la variable aleatoire u tiree. 

Les autres moyens sont dans l'exemple les 
troisiemes moyens TC X deja vus en relation avec le 
15 premier mode de realisation et des quatriemes moyens 
TC 3 

ces quatriemes moyens sont calcules par rapport aux 
premiers moyens TC Q en appliquant un OU EXCLUSIF sur la 
donnee E d' entree, avec la variable aleatoire derivee 

20 e(p(u) ) . 

Ainsi, apres avoir tire la valeur aleatoire u, et 
calculi la variable aleatoire derivee, on calcule les 
differents moyens utilises dans la sequence d' execution 
SEQA. Puis on applique cette sequence SEQA sur le 

25 premier groupe. On obtient en sortie les parametres L3 , 
R3. On execute les tours suivants T4 a T13 avec les 
premiers moyens TC Q . En fin de tour T13, on applique la 
sequence SEQA sur le groupe G4 . On obtient les 
parametres L16, R16 qui vont servir a calculer le 

30 message chiffre C. 

La figure 12 est un organigramme detaille 

correspondant . 

II apparalt clairement sur cet organigramme que 
l'on obtient des donnees modifiees aleatoirement pour 
toutes les instructions critiques de ces tours. Les 
donnees L3 et R3 en sortie du troisieme tour ne sont 
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pas modifiees, ce qui permet de continuer l'execution 
de 1' algorithme, en passant au tour T4 auquel on 
applique les premiers moyens TC Q selon 1' execution 
normale de 1' algorithme. 

Sur cette figure, on peut remarquer que dans 
1' operation SBOX du troisieme tour T3 , on pourrait 
utiliser les premiers moyens TC Q a la place des 
troisidmes moyens calcules TC 1# en prevoyant une 
operation OU EXCLUSIF supplementaire CP en sortie de 
1' operation SBOX, pour faire un OU exclusif de la 
sortie avec la variable aleatoire u, pour obtenir la 
donnSe a«U en entree de 1' operation XOR* C'est une 
solution equivalente. 

La figure 13 represente un organigramme d' execution 
utilisant cette variante. Pour le troisieme tour des 
deux groupes Gl et G4 , on utilise dans la sequence 
d' execution SEQA, les premiers moyens TC Q suivis en 
sortie de 1 ' instruction OU EXCLUSIF supplementaire avec 
la variable u, ce qui est not6 T3(TC Q , CP(u)). 

De maniere generale, dans le procede de contre- 
mesure selon 1' invention, on peut done prevoir dans la 
sequence d'execution SEQA et pour un ou plusieurs 
tours, une instruction OU EXCLUSIF supplementaire CP en 
entree ou en sortie des moyens utilises avec la 
variable u ou une variable aleatoire derivee p(u) ou 
e(p(u)) selon les cas. 

La presente invention s' applique a 1' algorithme de 
cryptographie a cle secrete DES, pour lequel plusieurs 
exemples d' application non limitatifs ont ete decrits. 
II s' applique plus generalement a un algorithme de 
cryptographie a cle secrete a seize tours de calculs, 
dont les instructions critiques se situent parmi les 
instructions des trois premiers ou trois derniers 
tours . 

Un composant electronique 1 mettant en oeuvre un 
procede de contre-mesure selon 1' invention dans un 
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algorithme de cryptographie a cle secrete DES, comprend 
typiquement, comme represente sur la figure 10, un 
microprocesseur |iP, une memoire programme 2 et une 
memoire de travail 3. Pour pouvoir gerer 1'utilisation 
5 des diff brents moyens TC Q/ TC 1# TC 2 selon 1' invention, 
qui sont, en pratique, des tables de constantes 
memorises en memoire programme, des moyens 4 de 
generation d'une valeur aleatoire entre 0 et 1, sont 
pr§vus qui, si on se reporte aux organigrammes des 
10 figures 7 et 11, fourniront la valeur aleatoire u a 
chaque execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte S puce 5, 
pour ameliorer son inviolabilite. 
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REVENDI CATIONS 

1. Procede de contre-mesure dans un composant 
§lectronique mettant en oeuvre un algorithme 
cryptograph ique a cle secrete (K) , la mise en oeuvre de 
1' algorithme comprenant 1' utilisation de premiers 

5 moyens (TC Q ) pour fournir une donnee de sortie (S) a 
partir d'une donnee d' entree (E) , la donnee de sortie 
et/ou des donnees derivees etant manipulees par des 
instructions critiques, caracterise en ce que le 
procede de contre-mesure prevoit 1 'utilisation d'autres 

10 moyens (TC 1 ) , en sorte que la donnee de sortie et les 
donnees derivees soient impredictibles, ces autres 
moyens etant obtenus des dits premier moyens par une 
operation de OU EXCLUSIF avec une valeur aleatoire (u) 
ou une valeur aleatoire derivee (e(p(u))) sur l'une 

15 et/ou sur 1 7 autre des donnees d' entree et de sortie des 
dits premiers moyens . 

2 . Procede de contre-mesure selon la revendication 
1, la mise en oeuvre de 1' algorithme comprenant seize 

20 tours de calcul (Tl, . . . ,T16) , chaque tour utilisant 
des premiers moyens (TC Q ) pour fournir une donnee de 
sortie a partir d'une donnee d' entree, la donnee de 
sortie et/ou des donnees derivees etant manipulees par 
des instructions critiques dans les trois premiers (Ti, 

25 T2, T3) et les trois derniers tours (T14, T15, T16) , 
caracterise en ce que l'on forme un groupe (Gl) 
comprenant les trois premiers tours au moins et un 
autre groupe (G4) comprenant les trois derniers tours 
au moins, et en ce que l'on associe au premier groupe 

3 0 (Gl) et au dernier groupe (G4) une sequence d' execution 
(SEQA) utilisant les autres moyens (TC^, TC 2 ) dans 
certains tours au moins* 
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3. Procede de contre-mesure selon la revendication 

2, caracterise en ce que l'on forme quatre groupes 

(G1,...G4) de quatre tours successifs chacun (Tl, T4) 

et , en ce que l'on applique au moins au premier groupe 

5 (Gl) et au dernier groupe (G4) la dite sequence 
d' execution (SEQA) . 

4. Procede de contre-mesure selon la revendication 

3, caracterise en ce que la dite sequence (SEQA) est 
10 executee dans chacun des groupes (G1,...G4). 

5. Procede de contre-mesure selon la revendication 
2, caracterise en ce que la dite sequence d' execution 
(SEQA) est appliquee a un premier groupe (Gl) forme des 

15 trois premiers tours (Tl, T2, T3) et a un dernier 
groupe forme des trois derniers tours (T14 , T15, T16) . 

6. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 

20 chaque execution de l'algorithme coroprend le tirage 
d'une valeur aleatoire (u) , et le calcul des autres 
moyens . 

7. Procede de contre-mesure selon l'une quelconque 
25 des revendications precedentes, caracterise en ce que 

les differents moyens sont des tables de constantes. 

8. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 

3 0 les differents moyens sont utilises en combinaison avec 
une operation OU exclusif supplementaire (CP) avec la 
valeur aleatoire ou une valeur derivee (p(u), e(p(u))). 
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9. Composant electronique de securite mettant en 
oeuvre le procede de contre-mesure selon l'une 
quelconque des revendications precedentes, caracterise 
en ce que les premiers moyens (TC Q ) , pour fournir une 

5 donnee de sortie a partir d'une donnee d' entree sont 
fixes en memoire programme (1) du dit composant, les 
autres moyens (TC 1/ TC 2 ) etant calcules a chaque 
nouvelle execution de l'algorithme et memorises en 
memoire de travail (3) et en ce qu'il comprend des 
10 moyens (4) de generation d'une valeur aleatoire (u) 
pour calculer les dits autres moyens. 

10, Carte a puce comprenant un composant 
electronique de securite selon la revendication 9. 
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